一家人就是要整整齐齐，GarrantyDecrypt勒索病毒最新变种居然做出这种事！

近日，深信服安全团队追踪到GarrantyDecrypt勒索病毒的最新变种，该变种会加密其所能访问的除 Windows 目录以外的所有文件，可谓寸草不生。 由于其采用 RSA+salsa20 算法加密，目前该勒索样本加密的文件无解密工具。

文件被加密后会被加上 .bigbosshorse 后缀：

在被加密的目录下会生成一个名为 ” #Decryption# ” 的 txt 文件，显示受害者的个人 ID 序列号以及黑客的联系方式等：

病毒详细分析

病毒文件

从对样本的分析中未发现有主动传播行为，病毒本体为一个 W in32 exe 程序，其编译时间为 201 9 / 11 / 16 ：

病毒在执行完加密行为后会进行自删除：

加密准备

删除磁盘卷影：

禁止 Windows 故障恢复画面，禁止 Windows 自动启动修复，关闭 Windows 防火墙：

结束nsftesql.exe、 sqlagent.exe 等进程，防止文件被占用而无法加密：

加密对象

病毒会对少数指定地区进行豁免，包括：哈萨克斯坦、白俄罗斯、塔吉克斯坦、阿塞拜疆、吉尔吉斯斯坦、亚美尼亚。

而对于被加密的主机，病毒几乎会对其所能访问的所有文件都进行加密。

加密共享文件：

枚举本地磁盘进行加密：

一般的勒索病毒加密时通常都会排除几个文件夹，并且只加密指定后缀的文件。而该病毒则会加密除Windows目录以外的所有文件：

加密方式

生成一对RSA公私钥 pub_key_1 、 pri_key_1 。用内置的 RSA 公钥 pub_key_2 加密生成的私钥 pri_key_1 并使用 base64 编码，将加密编码后的 pri_key_1 与生成的 pub_key_1 依次写入 %appdata%\_uninstalling_.png 文件中：

_uninstalling_.png文件内容如下：

通过CryptGenRandom随机生成 256 位的加密密钥 key ，使用 pri_key_1 对其进行加密：

使用上面生成的密钥key对文件进行加密，加密算法为 salsa20 ，加密后缀为“ .bigbosshorse ”，加密后在文件末尾依次写入标志符 0xD3ADBE3F 以及被加密的密钥 key ：

写入如下勒索信息：

解决方案

针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施，防范该病毒家族的勒索攻击。

病毒检测查杀

1、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力，部署相关产品用户可进行病毒检测，如图所示：

2、深信服为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀。

64位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

病毒防御